Apa Itu Domain Name System (DNS) Spoofing

Domain Name Server (DNS) spoofing (alias keracunan cache DNS) adalah serangan di mana catatan DNS yang diubah digunakan untuk mengarahkan lalu lintas online ke situs web palsu yang menyerupai tujuan yang dimaksudkan.

Sesampai di sana, pengguna diminta untuk masuk ke (apa yang mereka yakini) akun mereka, memberi pelaku kesempatan untuk mencuri kredensial akses mereka dan jenis informasi sensitif lainnya . Selain itu, situs web jahat sering digunakan untuk memasang worm atau virus di komputer pengguna, memberikan akses jangka panjang kepada pelaku dan data yang disimpannya.

Metode untuk menjalankan serangan spoofing DNS meliputi:

- Man in the middle (MITM)  – Intersepsi komunikasi antara pengguna dan server DNS untuk mengarahkan pengguna ke alamat IP yang berbeda/berbahaya.

- Kompromi server DNS  – Pembajakan langsung server DNS, yang dikonfigurasi untuk mengembalikan alamat IP berbahaya.

  Contoh berikut mengilustrasikan serangan keracunan cache DNS

di mana penyerang (IP 192.168.3.300) memotong saluran komunikasi antara klien (IP 192.168.1.100) dan komputer server milik situs web www.estores.com (IP 192.168.1.100) dan komputer server milik situs web www.estores.com (IP 192.168.1.100). 2.200).

Dalam skenario ini, alat (misalnya, arpspoof) digunakan untuk menipu klien agar berpikir bahwa IP server adalah 192.168.3.300. Pada saat yang sama, server dibuat untuk berpikir bahwa IP klien juga 192.168.3.300.

Skenario seperti itu akan berlanjut sebagai berikut:

1. Penyerang menggunakan arpspoof untuk mengeluarkan perintah:  arpspoof 192.168.1.100 192.168.2.200 . Ini mengubah alamat MAC di tabel ARP server, membuatnya berpikir bahwa komputer penyerang adalah milik klien.

2. Penyerang sekali lagi menggunakan arpspoof untuk mengeluarkan perintah:  arpspoof 192.168.2.200 192.168.1.100 , yang memberi tahu klien bahwa komputer pelaku adalah server.

3. Penyerang mengeluarkan perintah Linux:  echo 1> /proc/sys/net/ipv4/ip_forward . Akibatnya, paket IP yang dikirim antara klien dan server diteruskan ke komputer pelaku.

4. File host,  192.168.3.300 estores.com  dibuat di komputer lokal penyerang, yang memetakan situs web www.estores.com ke IP lokal mereka.

5. Pelaku membuat web server pada IP komputer lokal dan membuat website palsu yang dibuat menyerupai www.estores.com.

6. Terakhir, alat (misalnya, dnsspoof) digunakan untuk mengarahkan semua permintaan DNS ke file host lokal pelaku. Sebagai hasilnya, situs web palsu ditampilkan kepada pengguna dan, hanya dengan berinteraksi dengan situs tersebut, malware dipasang di komputer mereka.

 Mitigasi spoofing DNS menggunakan keamanan server nama domain (DNSSEC)

DNS adalah protokol yang tidak terenkripsi, membuatnya mudah untuk mencegat lalu lintas dengan spoofing. Terlebih lagi, server DNS tidak memvalidasi alamat IP ke mana mereka mengarahkan lalu lintas.

DNSSEC  adalah protokol yang dirancang untuk mengamankan DNS Anda dengan menambahkan metode verifikasi tambahan. Protokol membuat tanda tangan kriptografi unik yang disimpan di samping catatan DNS Anda yang lain, misalnya, A record dan CNAME. Tanda tangan ini kemudian digunakan oleh resolver DNS Anda untuk mengautentikasi respons DNS, memastikan bahwa catatan tidak dirusak.

Meskipun DNSSEC dapat membantu melindungi dari spoofing DNS, ia memiliki sejumlah potensi kerugian, termasuk:

-) Kurangnya kerahasiaan data  – DNSSEC mengautentikasi, tetapi tidak menyandikan respons DNS. Akibatnya, pelaku masih dapat mendengarkan lalu lintas dan menggunakan data untuk serangan yang lebih canggih.

-) Penyebaran yang rumit  – DNSSEC sering salah dikonfigurasi, yang dapat menyebabkan server kehilangan manfaat keamanan atau bahkan menolak akses ke situs web sama sekali.

-) Pencacahan zona  – DNSSEC menggunakan catatan sumber daya tambahan untuk mengaktifkan validasi tanda tangan. Salah satu catatan tersebut, NSEC, dapat memverifikasi tidak adanya zona DNS. Itu juga dapat digunakan untuk berjalan melalui zona DNS untuk mengumpulkan semua catatan DNS yang ada—kerentanan yang disebut enumerasi zona. Versi NSEC yang lebih baru, yang disebut NSEC3 dan NSEC5, menerbitkan catatan hash nama host, sehingga mengenkripsinya dan mencegah enumerasi zona.

Oke? Segitu Dulu Pengertian DNS Spoofing Dari Saya!

Sampai Berjumpa Dipostingan Berikutnya :D